LOGBASE产品功能介绍

4.6日志管理系统——LOGBASE

为满足用户对网络基础架构及其应用系统的安全事件进行自动化、智能化集中管理和分析的要求，LogBase为用户提供了功能强大的事件采集模块、完善的日志分析模块，高效的日志管理及存储模块，庞杂的日志分析和管理工作从此变得轻松、简单。

4.6.1事件采集功能

? 采集对象

LogBase支持的采集对象包括： ? 操作系统：

Linux、Solaris、AIX等所有主流类Unix操作系统的运行状态及系统日志； Windows操作系统的事件日志（EventLog）、服务器主机性能、网络连接状态等；

? 网络及安全设备：

天融信、绿盟、东软、联想网御、Cisco、Checkpoint、Juniper、Fortinet、等国内外主流网络及安全设备厂商的各种网络设备及安全设备；

? 主流数据库访问行为：

支持对ORACLE、MS-SQL、SYBASE、Informix、DB2等主流数据库网络访问协议的解析。

? 常见网络协议访问行为：

支持对HTTP、FTP、SMTP、POP3、Telnet、MSN、BT等常见内网及互联网应用层访问协议的解析。

? 应用系统：

支持对常见Web及应用中间件系统（Apache、IIS、Tomcat、Resin、Websphere、WebLogic、TUXEDO、VisiBroker等）、EMAIL系统、FTP系统和常见应用系统产生的系统运行及用户访问日志。

? 采集方式

LogBase的安全事件采集由基于网络监听的硬件探测器设备、基于网络协

议采集的硬件探测器设备和软件形式的软件探针等三类探测器完成，对不同类型的事件类型采用不同的采集手段。 ? 网络监听方式

部署在网络中的硬件探测器设备通过监听及协议还原方式获取，采取旁路方式部署在网络中，通过交换机镜像对网络流量进行采集分析。主要完成以下网络操作行为的收集工作：

（1）对用户通过数据库客户端对各种数据库系统的各种操作行为,包括登录、查询、修改、删除、数据定义和权限管理等；

（2）上网行为日志(Web访问、Email、BT、Msn等)、Telnet访问、FTP访问行为等。

? 协议访问方式（本方案建议方式）

部署在网络中的硬件探测器设备通过通用协议接收或获取各种日志，可分为两类：

（1）专用日志协议，以Syslog日志为代表的网络及系统日志协议是目前所有的网络设备、安全设备、Unix主机中比较通用的日志协议，其它类似协议还有SNMP Trap、OPSEC-LEA等，LogBase依据特定协议接受或主动询问获得相关系统日志。

（2）文件访问协议，系统管理员通过FTP、SMB、HTTP等协议将操作系统、应用系统产生的文件型日志开放给LogBase探测器设备，由探测器设备主动下载日志文件、从而分析并采集日志。 ? 软件探针方式

对于主机上的各种非文件形式的日志、无法通过SNMP等协议获取的操作系统运行状态等信息，LogBase支持采用在对象主机上安装软件探针（Agent）方式进行日志采集。如通过在Windows主机上安装Agent完成收集Event Log、性能监控、网络连接状态、进程运行状态等信息的收集；通过在Unix主机上安装Agent完成对用户通过加密协议或Console进行的Shell操作的记录采集等。

4.6.2 存储管理

LogBase将采集到的各类事件经过格式化预处理过后，统一以日志的形式送往管理及查询中心和存储中心。

LogBase采用专有的特殊文件系统对规范化的日志进行存储，同时也支持Mysql等标准数据库存储。LogBase文件存储机制是根据日志系统的特殊性进行专门研发，为海量日志的存储及检索进行了优化设计，在海量日志的情况下，具有其他同类日志审计产品无法比拟的速度优势。

LogBase产品内置高达数百G(产品具体容量见相关产品资料)的硬盘存储空间，内置存储空间均采用Raid5硬盘阵列，可有效防止由于硬盘硬件问题而带来的数据丢失，同时LogBase支持外挂存储系统，如：NAS、SAN、磁盘柜等，从而实现存储空间的海量扩充。

LogBase支持对日志进行以下管理操作：

? 日志归档包括：手工与自动两种方式。操作员可以设置归档范围（类型、

时间） ；

? 日志备份：支持归档文件的多种备份方式（Tape/Ftp/Samba/NFS）； ? 日志导入：原始日志批量导入和归档文件导入； ? 日志导出：支持将日志以文件形式导出；

? 在已归档日志范围内，系统管理员可对日志记录进删除操作。

4.6.3 多级审计功能

LogBase审计体系由实时审计引擎、日志检索引擎、综合审计引擎组成。 ? 实时审计：LogBase在获取原始日志/事件后，通过实时审计引擎进行实时审

计，如有匹配实时告警规则的日志，则产生告警动作。

? 条件查询：输入查询条件，检索引擎对日志库的信息进行高速检索，输出结

果集，可组合条件；

? 综合审计分析：提供审计检索模板、动态和静态两类统计分析报表，可以满

足不同的审计分析需求。

4.6.4实时分析

? 规则库组织方式

LogBase实时分析规则库以二维形式存储，以二叉树方式进行高效规则匹配，

匹配规则成功时，进行告警输出，并执行下一行为（继续下一规则、跳转规则、规则匹配结束）。

? 规则组成结构

? 规则基本信息：规则编号、规则名称、规则描述； ? 规则条件：规则匹配的依据。 ? 正则表达式进行规则匹配。

? 通过语义进行内容搜索；（行为主体、行为时间、行为内容） ? 比较运算符：等于、大于、小于、不等于、区间、模糊。 ? 逻辑运算符：与、或.

? 规则动作：规则匹配成功的日志进行相应的动作。 ? 日志分类（原始、重要、告警）

? 告警等级；（设置告警等级，对告警性质进行分类）

? 告警方式（邮件、短信、声音，其中可以多种告警方式并用）等； ? 告警消息；（用户可以接受，查看的告警提示信息） ? 接收告警组；（可以处理告警对象集合）

4.6.5查询分析

LogBase系统采用了自主开发的基于海量日志索引的日志检索引擎，避免了在采用关系数据库在处理海量日志数据时的低效率问题，采用了“基于预测的动态索引技术”、“数据正交分组技术”及“适应磁盘的索引存储”等核心技术手段，实现了对日志的高速检索。

通过日志类型、日志时间区间、日志所属服务、日志对应关键字段进行查询，查询可以通过与、或方式进行多级查询条件组合，提高查询准确性。

例如：查询2006-2-20 23:00:00至2006-2-21 4:00:00期间内，配置过10.34.56.78交换机的全部日志。

4.6.6综合分析

LogBase通过动态报表的方式对审计结果进行统计分析。用户可以根据自身的实际需求在预定义的报表模板上调整相关设置，进行实时的报表生成。如用户可以选择对2006/12/19-2006/12/25时间段中对192.168.1.6服务器中的Oracle数据库中的“ERP”数据库实例的Order表的所有操作进行报表分析。

4.6.6综合分析

LogBase通过动态报表的方式对审计结果进行统计分析。用户可以根据自身的实际需求在预定义的报表模板上调整相关设置，进行实时的报表生成。如用户可以选择对2006/12/19-2006/12/25时间段中对192.168.1.6服务器中的Oracle数据库中的“ERP”数据库实例的Order表的所有操作进行报表分析。

本文来源：https://www.bwwdw.com/article/lxfa.html